Autores
Introducción
Las amenazas cibernéticas están en constante evolución, y el phishing por correo electrónico no se queda atrás. Los atacantes desarrollan métodos cada vez más ingeniosos para evadir filtros y engañar a los usuarios. Sin embargo, las estrategias tradicionales tampoco desaparecen; es más, algunas técnicas antiguas a veces resurgen con fuerza renovada. En este artículo describiré qué técnicas poco comunes están utilizando los atacantes en 2025.
PDF: de códigos QR a contraseñas
Los correos con archivos adjuntos en formato PDF son cada vez más frecuentes tanto en las campañas de phishing masivo como en los ataques selectivos. Y si antes los archivos PDF contenían sobre todo enlaces de phishing, hoy la tendencia predominante en este tipo de ataques es el uso de códigos QR.
Correo electrónico con un archivo PDF adjunto que contiene un código QR de phishing
Esta estrategia es una evolución bastante lógica del uso directo de códigos QR en el cuerpo del mensaje. Este método hace que sea más fácil enmascarar el enlace de phishing, e incentiva al usuario a abrirlo desde su teléfono, que suele estar menos protegido que su computadora de oficina.
Se siguen usando los correos con enlaces de phishing dentro de archivos PDF, pero los atacantes aplican cada vez más técnicas adicionales para impedir su detección. Por ejemplo, algunos archivos PDF están cifrados y requieren una contraseña para abrirlos.
Correo electrónico de phishing con PDF adjunto protegido por contraseña
La contraseña puede incluirse en el mismo mensaje que contiene el PDF o enviarse en un correo aparte. Esto, por un lado, dificulta el escaneo rápido del archivo y, por otro, otorga a los atacantes una apariencia de “profesionalismo” que puede interpretarse como cumplimiento de altos estándares de seguridad. Como consecuencia, este tipo de mensajes genera mayor confianza en el usuario.
Archivo PDF después de ingresar la contraseña
Phishing y notificaciones de calendario
El uso de eventos en calendarios es una técnica de spam bastante antigua. Fue popular a finales de la década de 2010 y su uso fue decayendo después de 2019. Su lógica es simple: los atacantes envían un correo con una cita en el calendario. El cuerpo del mensaje puede estar vacío, ya que el enlace de phishing viene oculto en la descripción del evento.
Correo electrónico en blanco con un enlace de phishing en una reunión de calendario
Al abrir dicho correo, el evento se añade al calendario del usuario, junto con el enlace. Si el destinatario acepta la reunión sin revisarla, más adelante recibirá una notificación, esta vez desde la aplicación de calendario. De esta forma, podría acceder al sitio de phishing incluso si no hace clic en el enlace incluido en el mensaje original.
En 2025, los atacantes han retomado esta técnica. A diferencia de finales de la década de 2010, cuando la mayoría de estas campañas eran masivas y estaban diseñadas para Google Calendar, las actuales se utilizan en ataques de phishing B2B dirigidos a personal de oficina.
Formulario de inicio de sesión en una cuenta de Microsoft, proveniente de una campaña de phishing de calendario
Verificación de cuentas existentes
Los atacantes no solo modernizan los métodos de entrega de contenido de phishing, sino también los propios sitios web de phishing. A menudo, incluso en los correos que a primera vista parecen más primitivos, se distribuyen enlaces a páginas que usan las nuevas técnicas.
Phishing con “mensajes de voz”
Por ejemplo, hemos observado campañas minimalistas que simulan notificaciones de mensajes de voz para el usuario. El cuerpo del mensaje contiene solo un par de frases con un espacio insertado en la palabra “Voice” y un enlace que dirige a una página sencilla que invita al usuario a “escuchar” el mensaje.
Página de destino del enlace incluido en un mensaje de phishing
Sin embargo, al presionar el botón, el usuario no llega a una sola página, sino a una cadena de páginas de verificación (CAPTCHA). Es probable que los atacantes lo hagan para tratar de protegerse contra los bots de las soluciones de seguridad.
Cadena de páginas de verificación con CAPTCHA
Tras demostrar varias veces que no es un robot, el usuario llega a una página con un formulario de autenticación falso, idéntico al de Google.
Formulario de autenticación mostrado por el phishing
Esta página es interesante porque verifica si la dirección de Gmail ingresada existe en el servicio y, si no existe, muestra un mensaje de error.
Mensaje de error
Si la víctima ingresa una dirección válida, sin importar la contraseña que escriba, el sitio de phishing mostrará una página similar, pero con un mensaje de error relacionado con la contraseña. En ambos casos, al hacer clic en “Reset Session”, se vuelve a mostrar el formulario para ingresar la dirección de correo. Si un usuario distraído intenta iniciar sesión probando distintas combinaciones de cuentas y contraseñas, todos esos datos terminan en manos de los atacantes.
Evasión de la autenticación multifactor (MFA)
Dado que muchos usuarios protegen sus cuentas mediante la autenticación de múltiples factores, los atacantes no solo intentan obtener contraseñas, sino también códigos de un solo uso y otros datos que puedan utilizarse para el mismo fin. Los correos masivos que redirigen a los usuarios a sitios que intentan eludir la autenticación multifactor (MFA) pueden ser de lo más variados: desde mensajes muy rudimentarios hasta correos con un formato muy profesional en los que a primera vista es difícil detectar la falsificación. A continuación, analizamos un ejemplo de esta última categoría.
Correo electrónico de phishing que simula una notificación de pCloud
A diferencia de la mayoría de los correos de phishing, que intentan asustar o captar de inmediato la atención del usuario, este mensaje presenta un asunto neutral: una notificación sobre una solicitud de asistencia técnica al servicio de almacenamiento en la nube pCloud, que solicita al destinatario evaluar la calidad del servicio recibido. No hay amenazas ni llamados urgentes a la acción. Al intentar seguir el enlace, el usuario recibe un formulario de autenticación fraudulento, casi idéntico al original, pero con una diferencia: en lugar de pcloud.com los atacantes usan un dominio similar en otro TLD: p-cloud.online
Formulario de autenticación mostrado por el phishing
En cada etapa de la interacción del usuario con el formulario, el sitio se comunica mediante API con el servicio legítimo de pCloud. Por lo tanto, si ingresa una dirección no registrada, el usuario verá un mensaje de error, tal como en el ejemplo anterior. Si, en cambio, introduce una dirección válida, se mostrará un formulario para ingresar un código de verificación (OTP), tal como lo haría el servicio real de pCloud.
Formulario para introducir el código de verificación
Dado que el sitio de phishing reenvía todos los datos ingresados al servicio legítimo, la verificación puede completarse con éxito: si se introduce una combinación aleatoria, el sitio devolverá un error.
Intento de evadir la verificación
El servicio pCloud envía el código de verificación real a la dirección de correo electrónico que el usuario proporcionó en el sitio de phishing.
Mensaje con un código de verificación
Una vez que el usuario “verifica” su cuenta, se le presenta un formulario para ingresar su contraseña. Esta solicitud también proviene del servicio legítimo.
Después, el sitio de phishing muestra una réplica de la interfaz de pCloud, y los atacantes obtienen acceso total a la cuenta de la víctima. Cabe destacar que esta réplica está bien elaborada: incluso incluye la carpeta con una imagen por defecto idéntica a la original, por lo que el usuario podría tardar en darse cuenta del engaño.
Formulario para ingresar la contraseña
Conclusión
Los delincuentes están implementando cada vez más métodos para evadir la detección, tanto en sus campañas de correo como en sus sitios web de phishing. En los correos, estas técnicas incluyen archivos PDF con códigos QR (que son más difíciles de detectar que los hipervínculos tradicionales) o archivos adjuntos protegidos con contraseña. A veces, la contraseña se envía en un mensaje separado, lo que complica aún más el análisis automático. En cuanto a las páginas web, los delincuentes las protegen mediante CAPTCHA, y en algunos casos utilizan múltiples páginas de verificación consecutivas. Al mismo tiempo, los esquemas para robar credenciales se vuelven más complejos y creíbles.
Para no caer en estas trampas, los usuarios deben extremar las precauciones:
- desconfiar de los archivos adjuntos no estándar, como archivos PDF con contraseña, documentos con un código QR en lugar de un enlace a un recurso corporativo, etc.
- antes de ingresar sus datos en una página web, asegurarse de que su URL coincida con la dirección de un recurso legítimo
Recomendamos a las organizaciones realizar capacitaciones periódicas en seguridad para su personal, para mantenerlos al tanto de las técnicas actuales empleadas por los atacantes. Asimismo, es fundamental implementar soluciones sólidas para la protección de servidores de correo electrónico. Por ejemplo, Kaspersky Security for Mail Server, que detecta y bloquea todas las técnicas descritas en este artículo.
Autores
De los mismos autores
En la misma categoría
Evolución de los ataques de phishing por correo electrónico: cómo los atacantes reutilizan y perfeccionan técnicas conocidas